Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
marzo
(Total:
63
)
- Herramientas Recuperación y Copia de Seguridad de ...
- El Ayuntamiento de Castellón sufre un ciberataque ...
- Instalar Chrome OS en una Raspberry Pi con FydeOS
- Mejores buscadores avanzados en Internet
- Historia del ransomware Egregor
- Tapjacking: superposiciones overlay y otros engañ...
- RetroShare: una plataforma de mensajería confidencial
- Dos vulnerabilidades críticas en plugin de Faceboo...
- CloudFlare presenta aislamiento del navegador y de...
- Nueva variante de Ransomware en América Latina: M...
- Shell informa de una violación de datos después de...
- Exploits para la vulnerabilidad crítica de F5 BIG-...
- Detienen a Vandathegod acusado de la mayor filtrac...
- Dos graves vulnerabilidades en complementos para W...
- Gestión de paquetes en Debian
- Error en Zoom permite la filtración de información...
- El fabricante Acer afectado por un ataque de ranso...
- Herramientas para escanear y auditar seguridad con...
- Mejores prácticas de seguridad en Docker
- Admitida en Estados Unidos una demanda multimillon...
- Adobe demanda un tweet de Acrobat Reader 1.0 (de h...
- Rclone: herramienta para clonar y sincronizar dire...
- Instalar un servidor VPN en una Raspberry Pi con P...
- Whonix, una distro basada en la seguridad y la pri...
- Opciones firewall para proteger una red: pfSense, ...
- El índice de Reparabilidad para dispositivos y ele...
- Zoom Escaper es un widget para Chrome para añadir ...
- Medidas prevención para evitar que un ransomware c...
- Transportes de Barcelona afectada por un ransomware
- SystemRescue 8.0: distro live rescate GNU-Linux co...
- Rescuezilla: recuperar archivos o hacer backup o i...
- Instalar un portal cautivo en una Raspberry Pi
- Aprovechan las vulnerabilidades de Exchange para s...
- Escritorio Remoto de Chrome para controlar tu PC d...
- Usuaria con apellido TRUE bloquea sistema iCloud d...
- Grave incendio del proveedor OVH en las instalacio...
- El Servicio de Empleo Publico Estatal de España (S...
- Ocultan carga útil de ObliqueRAT en imágenes para ...
- Iberia Plus restablece las contraseñas de sus clie...
- Más de 18.000 aplicaciones de iOS y Android filtra...
- El supervisor bancario europeo sufre un ciberataqu...
- Tres meses sin internet para Alcasec: el castigo a...
- Lord of the Ring(s): Nueva vulnerabilidad descubie...
- El portal Educarm (Murcia) sufre un ataque informá...
- Ventoy: herramienta para crear USB's de arranque c...
- Sistema de archivos para un pendrive, SSD, Disco D...
- Suricata - IDS/IPS - Instalación, configuración bá...
- Snort: Sistema Detección Intrusos (NIDS)
- Desinstalar App Falsa FluBot (Cabassous) de Fedex ...
- Cuatro detenidos en Barcelona por enviar 71.000 me...
- Cambiar un bit en el nombre de dominio para secues...
- ¿Qué es un keylogger? Una herramienta para espiar ...
- Power Automate Desktop permite automatizar tareas ...
- Instalar vscode (Visual Studio Code) y xDebug en K...
- Instalar Android Studio (con AVD - Android Virtual...
- Instalar Discord, Zoom, Tor, Sublime Text, Doom 3,...
- Filtran datos de 21 millones usuarios de VPN's par...
- Ciberactores Chinos atacan servidores de correo Mi...
- Alrededor del 20% de los 18,5 millones de Bitcoin ...
- Instalar complemento Netflix en Kodi en una Raspbe...
- Inteligencia Artificial consigue dar vida en forma...
- China utilizó un exploit 0-Day de la NSA años ante...
- Instalar VMware ESXi en una Raspberry Pi 4
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
El Servicio de Empleo Publico Estatal de España (SEPE) víctima del ransomware Ryuk
El Servicio de Empleo Publico Estatal de España (SEPE) ha anunciado una caída de su portal web y de la sede electrónica. Las líneas de atención telefónica tampoco se encuentran disponibles en este momento, lo que parece indicar que la suspensión de sus servicios es total. El SEPE esta offline. El ciberataque ha dejado fuera de servicio la actividad en todo el país del organismo, tanto en las 710 oficinas que prestan servicio presencial como en las 52 telemáticas, según constató, por su parte, la Central Sindical Independiente y de Funcionarios (CSIF). Un hecho que ya esta siendo investigado por el Centro Criptológico Nacional, dependiente del CNI (Centro Nacional de Inteligencia) y el equipo informático del propio SEPE. Ryuk agrega .RYK a los archivos cifrados y coloca el archivo RyukReadMe.txt en los directorios cifrados. El ciberataque del SEPE afecta también al Instituto de la Seguridad Social. Trickbot ha pasado a convertirse en el dropper más usado del mundo tras la la desmantelación de Emotet
- El SEPE no figura en la lista de centros certificados por el Centro Criptológico Nacional para el Esquema Nacional de Seguridad
Según han confirmado fuentes del SEPE estamos ante un ciberataque por medio de un ransomware, que ha obligado a que los ordenadores del SEPE se encuentren apagados desde primera hora de la mañana y que ha afectado tanto a aquellas personas que trabajan de forma presencial en las 710 sedes, como a las 52 que lo hacen de forma telemática.
«La dirección del SEPE está estudiando enviar un comunicado para tranquilizar a todas las personas cuyos datos han podido ser intervenidos por los responsables del ataque», según confirman al medio.
El malware «ha afectado a varios sistemas de la red troncal, a los sistemas de correo electrónico y a los puestos de toda la red», ha explicado la dirección a los empleados de las direcciones provinciales en una nota interna. En ese mismo comunicado se detallan las medidas que se han tomado hasta el momento: «apagado de todos los interfaces de comunicaciones en los Router de todos los Centros para conseguir un aislamiento completo de la red», y «aislamiento de todas las VLAN de servicios Centrales para analizar el impacto del ataque».
Como medida extra, han solicitado al Centro Criptológico Nacional (CCN-CERT) soporte en el proceso de detección del ataque y de medidas a adoptar», así como con a McAffe, su proveedor de antivirus.
La web, cuando responde, muestra ahora el siguiente mensaje «Por causas ajenas al SEPE la página WEB y la sede electrónica no están operativas. Estamos trabajando para restaurar el servicio lo antes posible. Se comunicará el restablecimiento en el momento en el que el servicio esté disponible. Disculpen las molestias».
Por causas ajenas al @empleo_SEPE , la web y la sede electrónica del #SEPE no se encuentran disponibles. Se avisará cuando estén nuevamente operativas. Lamentamos las molestias causadas. pic.twitter.com/YPa9Dps2UX
— SEPE (@empleo_SEPE) March 9, 2021
Así mismo, numerosos medios afirman que han contactado con empleados y que se trata de la variante Ryuk, pero no hemos podido confirmar dicha información.
El Director General del SEPE, Gerardo Gutiérrez, ha explicado en entrevistas en RNE y La Ser que, de momento, no ha habido petición de rescate, práctica común en este tipo de ciberataques.
Preguntado por el pago del día 10, Gerardo Gutiérrez ha explicado que el virus sufrido afecta a archivos compartidos, pero no a aplicaciones informáticas ni a sistemas de generación de nóminas y pagos, como los ERTE. «La prestación por desempleo se está pagando y se seguirá abonando, como siempre» ha reconocido en los medios. En estos momentos, ha reconocido que se encuentran trabajando para reestablecer «cuanto antes» las comunicaciones y «evaluando» el daño del ciberincidente.
Por último, Gerardo Guitiérrez ha afirmado que «no ha salido ningún dato, no ha habido ningún robo. Los datos de confidencialidad están totalmente asegurados».
En España, el primero en conocer la virulencia de Ryuk fue el Ayuntamiento de Jerez. En octubre de 2019, el consistorio sufrió un ataque de este virus que, al igual que ha sucedido este martes en el SEPE, obligó a cambiar los ordenadores por papel, los trámites telemáticos por los presenciales y la velocidad de la red por la paciencia cara a cara. Un mes después, la Cadena SER (propiedad del grupo editor de EL PAÍS) y la consultora Everis también sufrieron un ataque parecido. Ambas empresas recurrieron al Instituto Nacional de Ciberseguridad (Incibe). Y también la la empresa de seguridad Prosegur
Historia del Ransomware Ruyk
A diferencia del ransomware común, distribuido a través de campañas masivas de spam, Ryuk se utiliza exclusivamente para ataques dirigidos. De hecho, su esquema de cifrado está diseñado intencionalmente para operaciones a pequeña escala, de modo que solo infecta recursos cruciales de cada red objetivo y su distribución es llevada a cabo manualmente por los atacantes.
Análisis técnico detallado del ransomware Ryuk que atacó Sepe en España (Servicio Público de Empleo Estatal) - Técnicas utilizadas por los operadores WIZARD SPIDER, UNC1878, Team9 -
Ruyk utiliza herramientas:
- Mimikatz
- PowerShell
- PowerSploit
- AdFind
- Bloodhound
- PsExec
- Cobalt Strike
- Bazar
Movimientos laterales WMI + PowerShell + Cobalt Strike (SMB PsExec)
Esto significa que se requiere un mapeo extenso de redes, piratería y recolección de credenciales antes de cada operación. Su supuesta atribución a Lazarus Group puede implicar que los atacantes ya tienen mucha experiencia en este tipo de operaciones, como demostraron en el ciberataque a Sony Pictures en 2014.
UNC1878 (Rusia) es responsable del 83% de las infecciones por Ryuk en 2020 (según FireEye)
Ryuk vs HERMES
El ransomware HERMES se hizo conocido en octubre de 2017,
cuando se utilizó como parte del ciberataque dirigido contra el Far
Eastern International Bank (FEIB) de Taiwán. En esa operación, atribuida
al Lazarus Group, se robaron 60 millones de dólares en un sofisticado
ataque al SWIFT, aunque luego se recuperaron.
En el caso de Ryuk, sin embargo, no hay duda de que sus ataques de las últimas dos semanas no son algo secundario. De hecho, con el pago de un rescate tan alto como solicitaron, este malware está recibiendo la repercusión adecuada entre sus objetivos o, mejor dicho, sus víctimas.
Ganancias del Ransomware Ryuk
Los actores detrás del ransomware Ryuk ha ganado más de 150 millones de dólares en 2021. La mayoría de las «ganancias» de Ryuk se están cobrando a través de cuentas en los intercambios de cifrado Binance y Huobi.
La última cifra que se tenía fue de febrero de 2020, cuando los funcionarios del FBI hablaron en la conferencia de seguridad de RSA. En ese entonces, el FBI dijo que RYUK era el grupo de ransomware más rentable activo en la escena, habiendo ganado más de 61.26 millones de dólares en pagos de rescate entre febrero de 2018 y octubre de 2019, según las denuncias recibidas por el FBI Internet Crime Complaint Centrar.
Informe publicado por las empresas de seguridad cibernética Advanced Intelligence y HYAS, que aseguran haber identificado un total de 61 direcciones de Bitcoin asociadas a los operadores de Ryuk.
“Ryuk recibe una cantidad significativa de los pagos de sus extorsiones mediante un conocido corredor que gestiona las transacciones”, dice el informe. “Estos pagos a veces ascienden a millones de dólares y suelen oscilar entre los cientos de miles”.
Los operadores de Ryuk usan os direcciones Protonmail únicas para cada víctima y las utilizan para comunicarse. Ryuk no utiliza actualmente un chat basado en la web como lo hacen muchas otras operaciones de ransomware. Con la visibilidad limitada disponible para los analistas, está dolorosamente claro que los criminales detrás de Ryuk son muy profesionales y no sienten ninguna simpatía por el estado, el propósito o la capacidad de pago de las víctimas. A veces, las víctimas intentarán negociar con Ryuk y sus importantes ofertas se les niegan con una respuesta de una sola palabra. Ryuk no respondió ni reconoció a una organización que afirmaba estar involucrada en el alivio de la pobreza y carecía de los medios para pagar.
Las empresas que sufren ransomware no están infectadas porque carecen de un software antivirus actualizado o porque eligieron el proveedor azul en lugar del proveedor rojo. Se encuentran con ransomware porque no han considerado desarrollar contramedidas que eviten el punto de apoyo inicial que obtienen los programas maliciosos precursores como Emotet, Zloader y Qakbot (por nombrar algunos). Lo que sigue son un par de enfoques para contrarrestar el punto de apoyo inicial:
- Restringir la ejecución de macros de Microsoft Office para evitar que se ejecuten macros maliciosas en su entorno.
- Asegúrese de que todos los puntos de acceso remoto estén actualizados y requieran autenticación de dos factores (2FA).
- El uso de herramientas de acceso remoto como Citrix y Microsoft RDP debe considerarse especialmente riesgoso y la exposición debe limitarse a una lista específica de direcciones IP cuando sea necesario.
Restaurando copias de seguridad antiguas y archive.org
SEPE: estarían restaurando la web usando una copia del año pasado de webarchive.org
Ahora mismo, parece que los informáticos encargados de recuperar el SEPE están trabajando en restaurar copias de seguridad. El problema es que puede que no tengan copias demasiado recientes o que, por alguna razón que desconocemos, no puedan acceder a ellas (pueden estar comprometidas también).
Aunque el gobierno reconoce que “no les han pedido ningún rescate”, expertos en ciberseguridad señalan que esto no es lo habitual. La extorsión es el siguiente paso en los virus de este tipo que, primero infectan y secuestran el sistema, y luego piden un rescate monetario para liberar los archivos.
Está restaurando el SEPE su web con un backup de 2020 y luego aplicando cambios con la información almacenada en archive.org?
13 millones de euros para sistemas informáticos
En el año 2016 se publicaban las bases del concurso público para los Servicios para el soporte y evolución de las infraestructuras y sistemas informáticos del Servicio Público de Empleo Estatal. Con un importe neto de este concurso es 13.300.866,61 euros, tenía como objetivo la prestación de soporte y evolución de las infraestructuras y sistemas informáticos y de comunicaciones del SEPE, así como los servicios de calidad, arquitectura y seguridad, que dan soporte a su vez a los servicios proporcionados por el organismo.
Por lo que parece, 13 millones de euros no han sido suficientes para renovar equipos informáticos con 30 años o para tener todo bien protegido. Al menos, para haber tenido copias de seguridad con las que levantar el sistema en unas pocas horas y no dar la sensación de improvisación o chapuza absoluta.
Trickbot y otros
- QBot. También conocido como Qakbot, es un troyano bancario que apareció por primera vez en 2008, diseñado para robar las credenciales bancarias y las claves del usuario. A menudo se distribuye a través de correo electrónico spam. Qbot emplea varias técnicas anti-VM, anti-debugging y anti-sandbox para obstaculizar el análisis y evadir ser detectado. Este troyano atacó al 7,57% de las empresas en España.
- XMRig. Un cryptojacker utilizado para minar ilegalmente la criptomoneda Monero. Este malware fue descubierto por primera vez en mayo de 2017. Ha atacado a un 4.79% de las empresas españolas.
- Darkgate. Es una amenaza compleja que se instala de manera sigilosa. Este troyano, que ha atacado al 4,02% de las empresas españolas, provoca problemas de desempeño e incapacidad para ejecutar ciertos servicios o aplicaciones.
Análisis Técnico del Ransomware Ryuk
Aunque no se trata de una relación de exclusividad, un despliegue masivo de Ryuk podría implicar un compromiso previo por parte de Emotet, TrickBot o BazarLoader. Debido al grave impacto que supondría el ciclo de explotación completo que pueden desencadenar estas familias de código dañino, una detección en una fase temprana es vital de cara a proteger la continuidad de negocio, en cuanto a la amenaza que supone el código dañino en este contexto.
La característica más destacable y significativa de la muestra analizada es su capacidad de propagación a modo de gusano. Además de aprovecharse del protocolo WOL Wake-on-Lan para arrancar equipos apagados hace uso de SMB y RPC para propagar y ejecutar el ransomware en otras máquinas a las que tiene acceso.
Fuentes:
https://www.vozpopuli.com/economia_y_finanzas/sepe-ataque-informatico.html
https://derechodelared.com/ciberataque-al-sepe/
https://www.adslzone.net/noticias/seguridad/sepe-copia-seguridad-ransomware/
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.